Что такое государственная информационная система или на кого рассчитан 17 й приказ ФСТЭК

Что такое государственная информационная система или на кого рассчитан 17-й приказ ФСТЭК?

Однако, эти 3 в чем то схожие позиции отличаются от того, что думают другие участники игры. Например, у коллег из РАНХиГС мнение совершенно иное. Оно более эмоциональная, но все-таки это позиция, к которой стоит прислушаться. Все-таки РАНХиГС активно участвует в нормотворческом процессе и сбрасывать со счетов их взгляд не стоит. Итак позиция дословно следующая: "Все, что делается в государственном органе (поскольку вся его деятельность — суть публичная сфера правоотношений), делается в силу закона. Иная деятельность по определению незаконна (публичному органу запрещено все, что прямо не предписано законодательством). Ведение бухгалтерии (кадрового учета и др.), вообще — любая иная обеспечивающая деятельность осуществляется также только в силу требований тех или иных законов. В случае бухгалтерии равно отнесенных к публичным и гражданским организациям. То, что такого рода деятельность прямо не описана в Положении о том или ином ведомстве, фактор неспецифический. Ведомства реализуют множество полномочий, которыми их наделили вне Положений (например, федеральными законами и указами президента). Отсутствие тех или иных полномочий в Положении дело, конечно, "неопрятное", но, если они проистекают из законодательства, они все равно полномочия. Тем самым, ИС бухгалтерии госоргана создается а) на основании закона (общего для любой организации в стране), б) на основании правового акта госоргана (вводится в экслуатацию приказом, скорее всего, министра, в) она нужна для реализации полномочий госоргана ("нужна" = без нее невозможно реализовать иные полномочия ведомства)". Если подытожить, то РАНХиГС считает, что любая информационная система в государственном органе является государственной.

Аналогичной позиции придерживается и Минкомсвязи. Их логика следующая. Государственные информационные системы — федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов. Обратите внимание, не нормативных, а правовых актов. Т.е. на основании любого правомочного решения государственного органа, например, обычного приказа. И такое правомочное решение может принять не орган исполнительной власти, не орган власти вообще, а любой обычный государственный орган. Частая отсылка к ПП-723 о регистрации отдельных видов ГИС имеет отношение не ко всем ГИС, а только к некоторым из них. По мнению Минкомсвязи ПП-723 обязательно только для ФОИВов и только для ГИС, предназначенных для оказания государственных функций или предоставления государственных услуг. При этом отсутствие регистрации не меняет статус незарегистрированной ГИС, как государственной. Иными словами, наличие обычного приказа о вводе в эксплуатацию информационной системы в госоргане делает ее государственной, а в мцниципальном учреждении — муниципальной. И никакая регистрация для этого не требуется (исключая федеральные ГИС определенных типов).

На ФБ была длинная дискуссия на тему, что считать ГИС, а что нет. Прошедшие через горнило регистрации ГИС в реестрах считают, что регистрация является обязательной и без нее статуса государственной получить нельзя. При этом реестр, в котором хранится информация о ГИС, не один. Это по ПП-723 у нас реестр федеральных ГИС ведет Минкомсвязи. Но если погуглить, то почти в каждом субъекте РФ найдется свой нормативно-правовой акт о порядке учета и регистрации информационных систем. Названия могут меняться. Например, в Московской области он называется "О порядке учета и регистрации информационных систем", на Ямале — "О порядке учета и регистрации информационных ресурсов и систем", в Республике Коми — "О государственных информационных системах Республики Коми", в Мурманской области — "О порядке учета и регистрации государственных информационных систем". Все вразнобой, но суть при этом не меняется — коллеги считают, что статус государственной получает только та информационная система, которая занесена в реестр, порядок ведения которого утвержден постановлением правительства субъекта РФ.

Что мы имеем в сухом остатке? Есть несколько позиций по этому вопросу. Если следовать логике "нет регистрации в реестре — нет ГИС", то получается, что госорган или орган местного самоуправления должен следовать сразу нескольким наборам требований по защите — 17-й приказ, 21-й приказ, СТР-К. Это очень неудобно и возникнет несогласованность между различными требованиями; особенно СТР-Кшными, которые пока никто формально не отменял. Если же следовать логике Минкомсвязи (оно формальнее и нравится мне больше, чем та же позиция РАНХиГС), то невзирая на наличие регистрации в реестре любая ИС, созданная в любом госоргане или органе местного самоуправления будет считаться государственной (или муниципальной соответственно), если есть приказ о ее создании или, что более вероятно, о вводе ее в эксплуатацию. А значит, что сфера действия 17-го приказа гораздо шире, чем считалось раньше, и под его действие попадают почти все госорганы и муниципалитеты.

Источник

Внедрения государственной информационной системы результат

от 6 июля 2015 года N 676

(с изменениями на 31 мая 2021 года)

Документ с изменениями, внесенными:

постановлением Правительства Российской Федерации от 11 апреля 2019 года N 420 (Официальный интернет-портал правовой информации www.pravo.gov.ru, 19.04.2019, N 0001201904190009);

постановлением Правительства Российской Федерации от 7 августа 2019 года N 1026 (Официальный интернет-портал правовой информации www.pravo.gov.ru, 09.08.2019, N 0001201908090009);

постановлением Правительства Российской Федерации от 4 сентября 2020 года N 1345 (Официальный интернет-портал правовой информации www.pravo.gov.ru, 07.09.2020, N 0001202009070007);

постановлением Правительства Российской Федерации от 10 октября 2020 года N 1650 (Официальный интернет-портал правовой информации www.pravo.gov.ru, 14.10.2020, N 0001202010140044);

постановлением Правительства Российской Федерации от 31 мая 2021 года N 837 (Официальный интернет-портал правовой информации www.pravo.gov.ru, 01.06.2021, N 0001202106010044).

2. Установить, что мероприятия, предусмотренные требованиями, утвержденными настоящим постановлением, осуществляются федеральными органами исполнительной власти в пределах бюджетных ассигнований, предусмотренных федеральным законом о федеральном бюджете на соответствующий финансовый год и плановый период на руководство и управление в сфере установленных функций.

3. Рекомендовать иным государственным органам, помимо федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации, а также органам управления государственными внебюджетными фондами, органам местного самоуправления руководствоваться в своей деятельности требованиями, утвержденными настоящим постановлением.

Председатель Правительства
Российской Федерации
Д.Медведев

УТВЕРЖДЕНЫ
постановлением Правительства
Российской Федерации
от 6 июля 2015 года N 676

Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации

(с изменениями на 31 мая 2021 года)

I. Общие положения

1. Настоящий документ определяет требования к порядку реализации мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации государственных информационных систем (далее — система) и дальнейшему хранению содержащейся в их базах данных информации, осуществляемых федеральными органами исполнительной власти и органами исполнительной власти субъектов Российской Федерации (далее — органы исполнительной власти) в целях повышения эффективности реализации полномочий органов исполнительной власти в результате использования информационно-коммуникационных технологий либо органами исполнительной власти, выступающими от имени публичных партнеров, и частными партнерами в соответствии с соглашениями о государственно-частном партнерстве (далее — частный партнер) в целях реализации указанных соглашений либо органами исполнительной власти, выступающими от имени концедентов, и концессионерами в соответствии с концессионными соглашениями (далее — концессионер) в целях реализации указанных соглашений.

1_1. При реализации органами исполнительной власти, частными партнерами либо концессионерами мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации систем и дальнейшему хранению содержащейся в их базах данных информации должны выполняться:

а) требования о защите информации, содержащейся в системах, устанавливаемые федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий;

б) требования к организации и мерам защиты информации, содержащейся в системе;

в) требования о защите персональных данных, предусмотренные частью 3 статьи 19 Федерального закона "О персональных данных" (в случае наличия в системе персональных данных).

1_2. В целях выполнения требований о защите информации, предусмотренных пунктом 1_1 настоящего документа (далее — требования о защите информации), органы исполнительной власти определяют требования к защите информации, содержащейся в системе органа исполнительной власти, для чего осуществляют:

а) определение информации, подлежащей защите от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации;

б) анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать система;

в) классификацию системы в соответствии с требованиями о защите информации;

г) определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в системе, и разработку на их основе модели угроз безопасности информации;

д) определение требований к информационной системе (подсистеме) защиты информации, содержащейся в системе.

II. Требования к порядку создания системы

2. Основанием для создания системы является:

а) обязанность органа исполнительной власти по созданию системы, предусмотренная нормативными правовыми актами;

б) решение органа исполнительной власти о создании системы с целью обеспечения реализации возложенных на него полномочий;

в) решение Правительства Российской Федерации о реализации проекта государственно-частного партнерства;

г) решение высшего исполнительного органа государственной власти субъекта Российской Федерации о реализации проекта государственно-частного партнерства, если публичным партнером является субъект Российской Федерации либо планируется проведение совместного конкурса с участием субъекта Российской Федерации (за исключением случаев проведения совместного конкурса с участием Российской Федерации);

д) решение Правительства Российской Федерации о заключении концессионного соглашения;

е) решение высшего исполнительного органа государственной власти субъекта Российской Федерации о заключении концессионного соглашения, если концедентом является субъект Российской Федерации.

2_1. Проекты правовых актов, указанных в пункте 2 настоящего документа, являющихся основанием для создания системы, разрабатываются с учетом концепции создания системы (далее — концепция), включающей в себя технико-экономическое обоснование реализации системы. Концепция является документом технической документации на систему и содержит обоснование вариантов построения системы, условия и мероприятия по ее созданию, на основе которых принимается решение о необходимости и целесообразности создания системы, формируются требования к ней, а также обеспечиваются единый контекст и взаимосвязь результатов реализации требований к системе на последующих этапах ее жизненного цикла, в том числе при разработке технического задания на систему. В концепции приводятся в том числе:

Читайте также:  Как проводится биопсия костного мозга

а) результаты анализа нормативных правовых актов, методических документов, международных и национальных стандартов Российской Федерации, в соответствии с которыми разрабатывается система;

б) классификация системы в соответствии с требованиями о защите информации;

в) описание выявленных проблем, решение которых возможно средствами системы, описание требований к системе, включая определение требований к информационной системе (подсистеме) защиты информации и допустимых затрат на разработку, ввод в действие и эксплуатацию системы, описание эффекта, ожидаемого от создания системы, условий создания и функционирования системы;

г) цели и задачи создания системы, архитектура системы, включая состав, выполняемые функции и взаимосвязи компонентов системы, состав сведений, подлежащих размещению в системе, обоснование выбранного варианта построения системы;

д) показатели степени автоматизации процессов и их значений, которые должны быть достигнуты в результате создания системы, а также критерии оценки достижения целей создания системы;

е) оценка финансовых, трудовых и материальных ресурсов, необходимых для реализации требований, указанных в подпункте "в" настоящего пункта (технико-экономическое обоснование), включая оценку указанных ресурсов для создания системы, ввода ее в эксплуатацию, эксплуатации и в случае, если установлен срок эксплуатации системы, оценку необходимых ресурсов для вывода системы из эксплуатации и дальнейшего хранения содержащейся в ее базах данных информации.

3. Создание системы осуществляется в соответствии с разрабатываемым согласно концепции техническим заданием с учетом модели угроз безопасности информации, предусмотренной подпунктом "г" пункта 1_2 настоящего документа, а также уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных и требований настоящего документа.

Техническое задание на создание системы и (или) модель угроз безопасности информации согласуются с федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий в части, касающейся выполнения установленных требований о защите информации.

В случае если в соответствии с технико-экономическим обоснованием, указанным в подпункте "е" пункта 2_1 настоящего документа, объем требуемого федеральным органам исполнительной власти финансирования на реализацию необходимых для создания системы мероприятий составляет более 100 миллионов рублей, техническое задание согласуется указанными федеральными органами исполнительной власти с уполномоченным федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, на соответствие государственной политике в сфере информационных технологий, а также единой технической политике, утверждаемой президиумом Правительственной комиссии по цифровому развитию, использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности.

Техническое задание на создание системы должно включать в себя сформированные в соответствии с подпунктами "а" и "в" пункта 1_1 настоящего документа требования о защите информации, содержащейся в системе.

Сроки согласования каждого из указанных в настоящем пункте документов не могут превышать 20 рабочих дней.

4. Техническое задание на создание системы и модель угроз безопасности информации утверждаются должностным лицом органа исполнительной власти, на которое возложены соответствующие полномочия.

5. Порядок создания системы включает следующие последовательно реализуемые этапы:

а) разработка документации на систему и ее части;

б) разработка рабочей документации на систему и ее части;

в) разработка или адаптация программного обеспечения;

г) пусконаладочные работы;

д) проведение предварительных испытаний системы;

е) проведение опытной эксплуатации системы;

ж) проведение приемочных испытаний системы.

6. Этап разработки документации на систему и ее части включает разработку, согласование и утверждение документации в объеме, необходимом для описания полной совокупности проектных решений (в том числе по защите информации) и достаточном для дальнейшего выполнения работ по созданию системы.

7. Этап разработки рабочей документации на систему и ее части включает разработку, согласование и утверждение документации, содержащей сведения, необходимые для выполнения работ по вводу системы в эксплуатацию и ее эксплуатации, и порядка эксплуатации системы, содержащего сведения, необходимые для выполнения работ по поддержанию уровня эксплуатационных характеристик (качества) системы (в том числе по защите информации), установленных в проектных решениях, указанных в пункте 6 настоящего документа, в том числе:

а) перечень действий сотрудников при выполнении задач по эксплуатации системы, включая перечень, виды, объемы и периодичность выполнения работ по обеспечению функционирования системы;

б) контроль работоспособности системы и компонентов, обеспечивающих защиту информации;

в) перечень неисправностей, которые могут возникнуть в процессе эксплуатации системы, и рекомендации в отношении действий при их возникновении;

г) перечень режимов работы системы и их характеристики, а также порядок и правила перевода системы с одного режима работы на другой с указанием необходимого для этого времени.

8. Этап разработки или адаптации программного обеспечения включает разработку программного обеспечения системы, выбор и адаптацию приобретаемого программного обеспечения, а также в установленных случаях и порядке сертификацию разработанного программного обеспечения системы и средств защиты информации по требованиям безопасности информации.

Источник

Можно ли сделать внедрение ГИС-технологий успешным?

Садясь писать эту статью, я испытывал определенные сомнения в том, а будет ли интересна читателям эта тема. Эти сомнения основывались на следующих фактах.

Во-первых, ГИС-технологии в нашей стране применяются уже около полувека и прошли в своем развитии все этапы, свойственные любой информационной технологии, — от глобального к персональному.

Во-вторых, существует множество созданных и функционирующих ГИС-проектов.

В-третьих, продолжают создаваться новые ГИС-проекты.

Значит, ГИСы нужны. Остается выяснить, какую пользу они приносят и какой результат дает их применение.

За ответом на эти вопросы я обратился к публикациям в прессе, к материалам конференций и семинаров, а также выслушал мнения специалистов, имеющих многолетний опыт создания и эксплуатации ГИС. Проанализировав собранную таким образом информацию, я пришел к следующим выводам:

Њ В основном в печати и в материалах конференций и семинаров описывается инструментарий для создания ГИС и связанная с ним методология: описание функций программного обеспечения, характеристик специализированной техники и преимущества их перед конкурирующими продуктами.

  1. В материалах конференций и семинаров, посвященных опыту создания ГИС, а также в выступлениях и обсуждениях специалистов, как правило, поднимаются проблемы, связанные с созданием электронной карты и привязанных к ней данных:
    1. проблема «разношерстности» имеющихся и предполагающих использование данных;
    2. проблемы законодательно-правовой базы (в частности, проблема доступа к данным, связанных с государственной тайной и безопасностью страны);
    3. проблема организации совместной работы поставщиков и потребителей данных;
    4. проблема «недофинансирования» проектов.

    К сожалению, нигде — ни в материалах конференций, ни в прессе — я не встретил даже упоминания о конкретных результатах эксплуатации созданной ГИС, которые можно было бы представить в цифровом виде. Ничего не говорится и о заработанных или сэкономленных с помощью ГИС деньгах.

    Поэтому хочется задать вопрос непосредственно читателям журнала «САПР и графика»: есть ли в России эффективно работающие ГИС?

    И если такая система существует, то приведите ее в пример и дайте ответы на другие вопросы: сколько вложено финансовых средств в создание данной ГИС, сколько средств уже заработано или сэкономлено в результате эксплуатации данной ГИС и сколько средств запланировано вложить в ее развитие?

    К сожалению, типичный ответ, который я получал на любой из этих вопросов, был таков: «Нет данных». Отсюда следует вывод, что при создании ГИС-проектов почти никогда не ставится задача эффективного использования создаваемой системы (исключением являются только силовые структуры и МЧС — в силу специфики решаемых ими задач).

    И тем не менее ГИС-технологии продолжают и внедрять, и применять… И почти все аргументы в пользу ГИС будут справедливы — это и создание электронной картографической информации, и создание объединенных баз данных, отображаемых на электронных картах, и т.д. Дело в том, что все классические работы по ГИС-технологиям (и даже негативный опыт) убеждают: использование ГИС-технологий обеспечивает не только значительное снижение затрат на сбор данных, но и сокращение сроков принятия решений и повышения качества анализа данных. Более того, создание ГИС как одного из компонентов управляющей системы предприятия позволяет оперативно и на основе целостного анализа данных принимать верные управленческие и инвестиционные решения.

    Для предприятий, деятельность которых связана с большим риском аварий, внедрение ГИС-технологий позволит организовать и провести виртуальное ситуационное моделирование в случаях природотехногенных и природообусловленных мероприятий. Кроме того, ГИС дает возможность повысить качество управленческих решений на начальном уровне за счет формирования наборов сценариев изменения и развития ситуаций.

    Другими словами, классически правильно созданная и эксплуатируемая система организации и управления геопространственными данными (информацией, которая идентифицирует географическое местоположение и свойства естественных или искусственно созданных объектов, а также их границ на земле) жизненно необходима всем, кто собирает, анализирует и использует эти данные.

    Как добиться успеха во внедрении ГИС-технологий

    Не секрет, что внедрение ГИС-технологий связано с долговременным отвлечением значительных финансовых, материальных и других ресурсов, а экономическая и функциональная отдача от этого наступает очень нескоро. Поэтому принятию инвестиционных решений по внедрению ГИС-технологий (как того и требуют нынешние экономические отношения) предшествует глубокий комплексный анализ — консалтинг, который предоставляет руководству предприятия полную картину необходимых затрат на приобретение и внедрение ГИС-технологий, а также перспективу экономического и технологического эффекта от внедрения этих технологий.

    Что такое консалтинг и зачем он нужен

    В справочной литературе этот термин определяется так: «Консалтинг — вид интеллектуальной деятельности, основная задача которой заключается в анализе, обосновании перспектив развития и использования научно-технических и организационно-экономических инноваций с учетом предметной области и проблем клиента». Иначе говоря, консалтинг — это любая помощь, оказываемая внешними консультантами в решении той или иной проблемы. Главная цель консалтинга состоит в повышении эффективности деятельности компании в целом и в увеличении индивидуальной производительности труда каждого работника.

    Проведение консалтинга — весьма дорогое удовольствие, и многие руководители предприятий сомневаются в целесообразности затрат.

    Анализ успешных и неудачных проектов внедрения ГИС-технологий позволяет выделить три основные группы проблем, оптимальное решение которых приводит к реально работающей системе: готовность предприятия к внедрению ГИС-технологий; оптимальный выбор ГИС-технологии; квалификация консультантов, внедряющих систему. Первые две проблемы решаются консультантами, третья — самим клиентом. Поэтому на вопрос, когда стоит платить за консалтинг, можно ответить однозначно: только тогда, когда необходимо получить реально работающую систему.

    Для анализа эффективности внедрения ГИС-технологий можно использовать рекомендации международной организации ЮНИДО, а также Методические рекомендации по оценке эффективности инвестиционных проектов, разработанные в России. Консалтинговое обследование предприятия включает:

    1. Определение перспектив и направления развития ГИС.
    2. Определение масштаба и конечных целей проекта по внедрению ГИС-технологий в процесс работы предприятия.
    3. Планирование процесса внедрения ГИС-технологий.
    4. Определение структуры и кадровой политики ГИС-подразделения предприятия.
    5. Формулировка требований к функциональным, техническим и эксплуатационным характеристикам ГИС-технологий и оценка их воздействия на работу предприятия.
    6. Анализ внутренней политики предприятия и оценка влияния на нее внедрения ГИС-технологий и действующего законодательства.
    7. Определение ресурсов для осуществления проекта.

    Результатом консалтингового обследования предприятия, как правило, становится документ под названием «Проект внедрения ГИС-технологий», где рассчитывается экономическая целесообразность внедрения ГИС-технологий в процесс работы предприятия и даются рекомендации по повышению эффективности процесса внедрения.

    В настоящее время внедрение ГИС — это уже технология на сформировавшемся рынке ГИС, так как консалтинговые услуги появляются на рынке последними. И именно их появление может свидетельствовать о том, что рынок ГИС-технологий полностью сформировался. Чтобы возникло предложение консалтинговых услуг, на рынке должны сложиться определенные условия. Первое (и самое очевидное) — возникновение спроса. Как только появилось осознание того, что консалтинговая информация — это те же деньги (а может, и ресурс поважнее) и что обрабатывать информацию без соответствующих знаний невозможно или невыгодно, возникает и спрос на консалтинг. Второе — это зрелость самого рынка, поскольку для появления квалифицированных экспертов и консультантов в области построения сложных геоинформационных систем необходимы время и опыт.

    Сегодня у нас есть и квалифицированные эксперты, и опыт создания экономически эффективных проектов. И самое главное — мы готовы вам помочь.

    Источник

    В сфере защиты ГИС важно держать «руку на пульсе»

    Данная статья посвящена вопросам обеспечения безопасности государственных информационных систем (ГИС). В статье обзорно рассматриваются основные положения, этапы и особенности обеспечения информационной безопасности ГИС, а также перспективы и тренды.

    Немного о терминологии

    Для начала, необходимо разобраться с самим понятием государственной информационной системы и с порядком отнесения информационных систем к ГИС. По данному вопросу в экспертном сообществе неоднократно поднимались дискуссии.

    С одной стороны, в Федеральном законе №149 «Об информации, информационных технологиях и о защите информации» дается следующее определение: государственные информационные системы — федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов. А поскольку подавляющее большинство систем в госорганах создаются или вводятся в эксплуатацию на основании приказа (т.е. на основании правового акта), то все они могут являться ГИС.

    С другой стороны, небольшую неясность создало наличие федерального и региональных реестров государственных информационных систем. Реестр федеральных ГИС ведется Минкомсвязью в соответствии с Постановлением Правительства №723. На первый взгляд может показаться, что к ГИС относятся исключительно системы, содержащиеся в государственных реестрах. Однако отсутствие системы в реестрах не противоречит тому, что она является ГИС. Регистрации в реестре подлежат только федеральные ГИС, которые используются федеральными органами исполнительной власти при осуществлении их функций или предоставлению государственных услуг. Т.е. информационные системы могут являться ГИС, но не иметь оснований для внесения в реестр.

    В дополнение можно отметить, что совсем недавно вышло Постановление Правительства № 676, которое определяет требования к порядку создания, развития, ввода и вывода из эксплуатации ГИС. И согласно данному постановлению, основанием для создания ГИС является:

    а) обязанность органа исполнительной власти по созданию системы, предусмотренная нормативными правовыми актами;

    б) решение органа исполнительной власти о создании системы с целью обеспечения реализации возложенных на него полномочий.

    С учетом того, что практически любая деятельность регламентирована соответствующим законом, а большинство информационных систем как раз и предназначены для обеспечения реализации полномочий организации, то к ГИС можно обоснованно отнести практически любую информационную систему, функционирующую в государственном органе.

    Основные мероприятия по защите ГИС

    Основным документом, регламентирующим меры по защите ГИС на сегодняшний день, является приказ ФСТЭК России №17, выпущенный 11 февраля 2013 года. Описанные в приказе меры по защите информации охватывают весь «жизненный» цикл ГИС и включают в себя следующие этапы:

    1) Формирование требований к защите;

    2) Разработку системы защиты информации;

    3) Внедрение системы защиты информации;

    4) Аттестацию информационной системы по требованиям защиты информации и ввод ее в действие;

    5) Обеспечение защиты информации в ходе эксплуатации системы;

    6) Обеспечение защиты информации при выводе системы из эксплуатации.

    На первом этапе производится классификация системы, моделирование потенциальных угроз и разработка технического задания на защиту системы. Для ГИС принята собственная система классификации, зависящая от масштаба системы и уровня значимости обрабатываемой в ней информации.

    На втором этапе осуществляется проектирование системы защиты, в том числе разработка проекта, рабочей и эксплуатационной документации. Проектирование производится с учетом ГОСТ серии 34. Перечень применяемых средств защиты описан в нормативных документах и зависит от класса системы и актуальных угроз ИБ.

    Третий этап включает внедрение организационных и технических мер защиты, в соответствии с разработанным проектом, предварительные испытания и опытную эксплуатацию системы защиты, ввод ее в действие.

    Четвертый этап подразумевает проведение аттестационных испытаний защищаемой ГИС на соответствие требованиям по защите информации. Формальный ввод ГИС в действие производится только после получения аттестата соответствия.

    На пятом этапе производится администрирование построенной системы защиты, а также периодический контроль уровня защищенности.

    Шестой этап наступает в случае вывода ГИС из эксплуатации. На данном этапе, меры по обеспечению безопасности включают, в том числе, архивирование необходимой информации и надёжное уничтожение ставших ненужными носителей.

    Особенности в защите ГИС

    Среди особенностей, связанных с защитой ГИС, можно выделить следующие:

    ‒ обязательная аттестация информационной системы перед вводом в эксплуатацию;

    ‒ обязательное использование сертифицированных средств защиты информации;

    ‒ более жесткие требования по защите, чем те которые предъявляются к негосударственным ИС.

    Как известно, под аттестацией понимается комплекс мероприятий, в результате которых подтверждается, что ГИС соответствует нормативным по информационной безопасности. Аттестация ГИС связана с дополнительными затратами, но у нее есть и ряд преимуществ. Во-первых, аттестация помогает убедиться, что все требования по ИБ в ней действительно реализованы. Во-вторых, сам аттестат может оказаться «лакмусовой бумажкой», которая может снять ряд вопросов в случае проверок со стороны регулятора.

    Необходимость использования сертифицированных средств защиты информации прописана в 17 приказе ФСТЭК. На рынке представлено достаточное количество сертифицированных средств защиты, среди которых есть как импортные, так и отечественные. Проблемы могут возникнуть при защите ГИС с высоким классом: для таких систем требуется применение решений, прошедших контроль отсутствия недекларированных возможностей (НДВ). И здесь уже количество доступных средств защиты сокращается. Дело в том, что сертификация по НДВ требует предоставления исходных кодов ПО и другой важной информации о продукте, которую производители (особенно западные) явно не горят желанием передавать на сертификацию вовне.

    Помимо перечисленного, отметим, что требования по защиты для ГИС в целом более жесткие, чем, например, аналогичные требования по защите персональных данных в остальных ИС. По сравнению с приказом ФСТЭК №21, многие требования, необязательные требования для ИСПДн, в приказе ФСТЭК №17 для ГИС становятся базовыми: обеспечение отказоустойчивости и резервирование компонентов ИС, контроль передачи речи и видеоинформации, а также ряд других меры защиты.

    Кроме того, в случае ГИС для каждой меры защиты дополнительно прописываются требования по «усилению». Усиления применяются дополнительно к требованиям по реализации базовых мер защиты. Например, для идентификации и аутентификации пользователя ГИС, в качестве усиления могут применяться средства двухфакторной аутентификации. Усиления довольно существенно влияют на содержание мер защиты и должны также учитываться при разработке систем защиты.

    Перспективы и тренды

    Государственные облака

    В России по-прежнему ведется работа по переводу ГИС в облачную инфраструктуру. Напомним, что к концу 2017 года в стране планировалось запустить проект «Гособлако». Проект, ведомый Минкомсвязью России, подразумевает, что вновь создаваемые информационные системы ведомств будут размещаться у поставщиков облачных услуг. По замыслу создателей, проект повысит эффективность оказания государственных услуг. «Переезд» ГИС в облака позволит госорганам сэкономить на закупке оборудования, ПО, сократит затраты на персонал. Причем экономия по ряду показателей может составить до 50%.

    При реализации ГИС в облаке возникнет ряд вопросов, требующих решения. И в частности — определение требований по ИБ, предъявляемых к поставщикам облачных услуг, разделение зон ответственности за ИБ между участниками процесса, порядок аттестации ЦОД и многое другое. Регулирование в данной области в настоящее время достаточно не проработано. По-прежнему ожидается принятие законопроекта, предложенного Минкомсвязью по теме регулирования облачных вычислений. Согласно последнему опубликованному проекту закона, ответственность за возможные нарушения ИБ возлагается на поставщика облачных услуг для ГИС. Такими поставщиками смогут стать только российские компании, прошедшие соответствующую аккредитацию в Минкомсвязи. Эти и другие, более детальные требования по информационной безопасности гособлаков, государству также еще предстоит закрепить в документах.

    Использование мобильных технологий

    Сейчас уже более половины населения России пользуется смартфонами. Соответственно, приобретает актуальность и мобильный доступ к ГИС. А мобильное рабочее место, как и стационарное, должно быть защищено при помощи сертифицированных средств защиты информации.

    Проблема заключается в узком выборе средств защиты, доступных для использования на мобильных устройствах. Западные MDM ( Mobile Device Management ) решения пока недостаточно проникли на российский рынок и не обладают необходимыми сертификатами. Но даже и среди имеющихся отечественных средств защиты мобильных устройств, многие обладают ограничениями. Ряд технологий, требующихся нормативно-правовыми требованиями (например, аппаратные модули доверенной загрузки) вообще на мобильных устройствах неприменимы. Таким образом, чтобы «легитимировать» использование мобильных устройств в ГИС, приходится уделять особенное внимание процессам моделирования угроз и разработке проекта на систему защиты. Вместе с тем, отечественные вендоры постепенно адаптируют свои решения под мобильные устройства и ситуация в этой сфере постепенно улучшается.

    Расширение нормативной базы

    Среди позитивных тенденций в области защиты ГИС, безусловно, можно отметить улучшение качества нормативной базы. Приказ ФСТЭК №17, содержащий требования по защите информации в ГИС регулярно дополняется. Так, в прошлом году появится большой методический документ ФСТЭК «Меры защиты информации в государственных информационных системах». Этот документ отвечает на множество вопросов по реализации мер защиты. Среди совсем «свежих» документов можно отметить проект методики моделирования угроз ФСТЭК и методические рекомендации по разработке отраслевых моделей угроз от ФСБ России. В новых документах значительно углубляется «аналитическая» часть: детализируется описание потенциальных нарушителей, учитывается их потенциал и мотивация, учитывается реализация угроз на разных этапах жизни ГИС, учитывается имеющаяся статистика по реализации тех или иных угроз. Заслуживает внимания также появление обновляемого банка угроз и уязвимостей, созданного ФСТЭК и доступного по адресу www.bdu.fstec.ru .

    Импортозамещение

    Импортозамещение существенно затрагивает отрасль ИБ. Дело в том, что в условиях санкций, под вопросом оказывается возможность закупки и дальнейшего сопровождения уже приобретенных западных средств защиты информации. Особенно это актуально для госорганов. Для решения многих задач в области информационной безопасности в настоящий момент у импортных решений есть отечественные аналоги. Традиционно, сильны позиции отечественных производителей в области антивирусной защиты, анализа защищенности, обнаружения вторжений, криптографической защиты. Развиваются также системы обнаружения вторжений, межсетевого экранирования, системы управления ИБ.

    Вместе с тем, в ряде случаев, отечественные решения завоевывают свою долю рынка, во многом благодаря более высокому уровню сертификации продуктов. Функционал и характеристики таких решений не всегда является достаточными, особенно в свете перспектив их использования в высокопроизводительной облачной инфраструктуре. Например, по-прежнему на рынке нет сертифицированных средств шифрования для работы на каналах связи производительностью 10 и более Гбит/с, средств шифрования Fibre Channel. А такие требования часто предъявляются к решениям, функционирующим в центрах обработке данных.

    Трудно сказать, станет ли политика государства по имортозамещению толчком к технологическому совершенствованию отечественных решений, но еще более усилить их позиции на рынке оно поможет.

    Заключение

    Область, связанная с обеспечением защиты ГИС в настоящее время активно развивается. Выходят новые и меняются старые нормативные документы, внедряются новые технологии, появляются новые средства защиты информации.

    Разработчикам и поставщикам ПО необходимо учитывать движение ГИС в сторону облачных вычислений и использования технологий мобильного доступа. Вендорам, разрабатывающим средства защиты информации, также придется адаптировать свои решения под использование в центрах обработки данных, а также в части совместимости с мобильными устройствами. Использование отечественных средств защиты будет подкрепляться общей тенденцией по импортозамещению.

    Специалистам по ИБ, работающим с ГИС, стоит постоянно держать «руку на пульсе», следить за изменениями в области нормативного регулирования и рынка средств защиты, быть готовыми оперативно адаптироваться к ним.

    Компания «БАРС Груп» — готова предложить своим Заказчикам комплексные решения созданию систем обеспечения информационной безопасности в государственных организациях. Компания является партнером ведущих производителей сертифицированных средств защиты. Специалисты БАРС Груп обладают опытом квалификацией, достаточными для проведения работ по защите информации в системах практически любого масштаба и уровня сложности.

    Источник

    

    Государственные информационные системы (ГИСы): практические вопросы защиты информации

    Государственные информационные системы (ГИСы): практические вопросы защиты информации

    Взаимодействие с государством активно переводится в интернет. Это не только упрощает многие процессы, но и накладывает определенную ответственность на пользователей, так как большинство государственных информационных систем обрабатывает персональные данные.

    Защита ГИС — не равно защите персональных данных

    В РФ существует порядка 100 государственных информационных систем, они подразделяются на федеральные и региональные. Организация, работающая с какой-либо из этих систем, обязана выполнять требования к защите данных, которые в ней обрабатываются. В зависимости от классификации, к разным информационным системам предъявляются разные требования, за несоблюдение которых применяются санкции — от штрафа до более серьезных мер.

    Работа всех информационных систем в РФ определяется Федеральным законом от 27.07.2006 № 149-ФЗ (ред. от 21.07.2014) «Об информации, информационных технологиях и о защите информации» (27 июля 2006 г.). В статье 14 этого закона дается подробное описание ГИСов. К операторам государственных ИС, в которых ведется обработка информации ограниченного доступа (не содержащей сведений, составляющих государственную тайну), предъявляются требования, изложенные в Приказе ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

    Напомним, что оператор — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

    Если организация подключена к государственной информационной системе, то приказ ФСТЭК № 17 обязывает аттестовать систему, а для защиты информации должны применяться только сертифицированные средства защиты информации (имеющие действующие сертификаты ФСТЭК или ФСБ).

    Нередки случаи, когда оператор информационной системы ошибочно относит ее к ГИСам, в то время как она таковой не является. В итоге к системе применяются избыточные меры по защите. Например, если по ошибке оператор информационной системы персональных данных классифицировал ее как государственную, ему придется выполнить более жесткие требования к безопасности обрабатываемой информации, чем того требует закон. Тем временем требования к защите информационных систем персональных данных, которые регулирует приказ ФСТЭК № 21, менее жесткие и не обязывают аттестовать систему.

    На практике не всегда понятно, является ли система, к которой необходимо подключиться, государственной, и, следовательно, какие меры по построению защиты информации необходимо предпринять. Тем не менее план проверок контролирующих органов растет, планомерно увеличиваются штрафы.

    Как отличить ГИС от неГИС

    Государственная информационная система создается, когда необходимо обеспечить:

    • реализацию полномочий госорганов;
    • информационный обмен между госорганами;
    • достижение иных установленных федеральными законами целей.

    Понять, что информационная система относится к государственной, можно, используя следующий алгоритм:

    1. Узнать, есть ли законодательный акт, предписывающий создание информационной системы.
    2. Проверить наличие системы в Реестре федеральных государственных информационных систем. Подобные реестры существуют на уровне субъектов Федерации.
    3. Обратить внимание на назначение системы. Косвенным признаком отнесения системы к ГИС будет описание полномочий, которые она реализует. Например, каждая администрация Республики Башкортостан имеет свой устав, который в том числе описывает полномочия органов местного самоуправления. ИС «Учет граждан, нуждающихся в жилых помещениях на территории Республики Башкортостан» создана для реализации таких полномочий администраций, как «принятие и организация выполнения планов и программ комплексного социально-экономического развития муниципального района», и является ГИС.

    Если система подразумевает обмен информацией между госорганами, она также с высокой долей вероятности будет государственной (например, система межведомственного электронного документооборота).

    Защитить информацию в ГИС и провести аттестацию помогут специалисты
    Контур-Безопасность.

    Это ГИС. Что делать?

    Приказ ФСТЭК 17 предписывает проведение следующих мероприятий по защите информации к операторам ГИС:

    • формирование требований к защите информации, содержащейся в информационной системе;
    • разработка системы защиты информации информационной системы;
    • внедрение системы защиты информации информационной системы;
    • аттестация информационной системы по требованиям защиты информации (далее — аттестация ИСПДн) и ввод ее в действие;
    • обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
    • обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

    Организации, которые подключены к государственным информационным системам, должны выполнить следующие действия:

    1. Провести классификацию ИС и определить угрозы безопасности.

    Классификация ИС проводится в соответствии с пунктом 14.2 17 приказа ФСТЭК.

    Угрозы безопасности информации определяются по результатам

    • оценки возможностей нарушителей;
    • анализа возможных уязвимостей информационной системы;
    • анализа (или моделирования) возможных способов реализации угроз безопасности информации;
    • оценки последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

    2. Сформировать требования к системе обработки информации.

    Требования к системе должны содержать:

    • цель и задачи обеспечения защиты информации в информационной системе;
    • класс защищенности информационной системы;
    • перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
    • перечень объектов защиты информационной системы;
    • требования к мерам и средствам защиты информации, применяемым в информационной системе.

    3. Разработать систему защиты информации информационной системы.

    Для этого необходимо провести:

    • проектирование системы защиты информации информационной системы;
    • разработку эксплуатационной документации на систему защиты информации информационной системы;
    • макетирование и тестирование системы защиты информации информационной системы.

    4. Провести внедрение системы защиты информации информационной системы, а именно:

    • установку и настройку средств защиты информации в информационной системе;
    • разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее — организационно-распорядительные документы по защите информации);
    • внедрение организационных мер защиты информации;
    • предварительные испытания системы защиты информации информационной системы;
    • опытную эксплуатацию системы защиты информации информационной системы;
    • проверку построенной системы защиты информации на уязвимость;
    • приемочные испытания системы защиты информации информационной системы.

    5. Аттестовать ИСПДн:

    • провести аттестационные испытания;
    • получить на руки аттестат соответствия.

    Существует распространенное мнение, что для прохождения проверки контролирующих органов достаточно наличия организационно-распорядительных документов, поэтому операторы ГИС зачастую пренебрегают внедрением средств защиты. Действительно, Роскомнадзор уделяет пристальное внимание именно документам и реализации организационно-распорядительных мер по защите ПДн в организации. Однако в случае возникновения вопросов к проверке могут быть привлечены специалисты из ФСТЭК и ФСБ. При этом ФСТЭК очень внимательно смотрит на состав технической защиты информации и проверяет правильность составления модели угроз, а ФСБ проверяет реализацию требований, касающихся использования средств криптографической защиты информации.

    Олег Нечеухин, эксперт по защите информационных систем, «Контур-Безопасность»

    Не пропустите новые публикации

    Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

    Источник